Introducción a la Ley de Protección de Datos Personales para el Distrito Federal 2016

Presentación Los integrantes del grupo deberán presentarse con sus compañeros, mencionando: Nombre Cargo Área de adscripción ¿Manejan datos personales?

Objetivo Al finalizar el curso “Introducción a la Ley de Protección de Datos Personales para Distrito Federal”, el participante distinguirá los elementos más destacados de esa ley.

Reglas de operación Protocolo de Protección Civil Celulares en silencio o modo de vibración Recesos (2 de 15 min) Participación ordenada Se presentan al grupo las reglas bajo las cuales se desarrollara el curso (son compromisos entre el Grupo y el Instructor).

Evaluación 10 puntos Final Valor Las evaluaciones que serán impartidas en el curso de Introducción a la Ley de Transparencia y Acceso a la Información Pública del Distrito Federal, son 3: Primera.- Será impartida al inicio del curso, la cual, tiene como propósito medir el nivel de conocimientos que tiene el participante en los temas que serán abordados (escrita) Segunda.- Se aplicará de manera aleatoria, dirigiendo preguntas directas Tercera.- Al término del curso, la cual, tiene como propósito medir el nivel de conocimientos alcanzados por el participante en los temas abordado (escrita).

Plan de sesión TEMAS: Introducción al Derecho a la Protección de Datos Personales Principios Rectores Excepciones al principio de Consentimiento Sistemas de Datos Personales Medidas de seguridad Procedimiento: Derechos ARCO Medios de Defensa

Introducción al Derecho de Protección de Datos Personales Tema Uno http://zulyecontreras.blogspot.mx/2009/11/que-constituye-los-antecedentes-del.html Introducción al Derecho de Protección de Datos Personales

Video: Controla tus datos personales Actividad, UNA ESCENA COTIDIANA Duración (10 min) Instrucciones: Reproducir el video controla tus datos para generar reflexión Posteriormente se pedierá que emitan sus comentarios respecto al video y hagan una similitud con su vida cotidiana Reprod

Video: Who is watching you? Reproducir video Who´s Watching You Se pedirá que observen el video y que hagan una reflexión de lo que pasa en él y que analicen si tiene semejanza con la vida cotidiana. Reprod

¿Qué son los Datos Personales? El Art. 2 de la LPDPDF los define como: Toda información numérica, alfabética, gráfica acústica o de cualquier otro tipo concerniente a una persona física identificada o identificable.

Persona Física Identificada: es “identificada” cuando, dentro de un grupo de personas, se la distingue de todos los demás miembros del grupo. Identificable: cuando sea necesario el empleo de otros mecanismos y/o información para identificarla.

Tipos de Datos Personales Categorías Numeral 5 LPDPDF Identificativos Electrónicos Laborales Patrimoniales Procedimientos Tránsito o migratorios Salud Biométricos Sensibles Públicos

Categorías de Datos Personales Datos identificativos: El nombre, domicilio, teléfono particular, teléfono celular, estado civil, firma, RFC, CURP, número de pasaporte, lugar y fecha de nacimiento, nacionalidad, fotografía, costumbres, idioma o lengua, entre otros. Datos electrónicos: correo electrónico, dirección IP, dirección MAC (dirección Media Access Control o dirección de control de acceso al medio), nombre de usuario, contraseñas, firma electrónica; o cualquier otra información empleada por la persona, para su identificación en internet u otra red de comunicaciones electrónicas. Datos laborales: documentos de reclutamiento y selección, de nombramiento, de incidencia, de capacitación, actividades extracurriculares, referencias laborales y personales, solicitud de empleo y hoja de servicio.

Categorías de Datos Personales Datos patrimoniales: bienes muebles e inmuebles, información fiscal, historial crediticio, ingresos y egresos, cuentas bancarias, seguros, fianzas y servicios contratados. Datos sobre procedimientos administrativos y/o jurisdiccionales: La información relativa a una persona que se encuentre sujeta a un procedimiento administrativo seguido en forma de juicio. Datos Académicos: Trayectoria educativa, calificaciones, títulos, cédula profesional, certificados y reconocimientos, demás análogos. Datos de tránsito y movimientos migratorios: Información relativa al tránsito de las personas dentro y fuera del país, así como la información migratoria.

Categorías de Datos Personales Datos sobre la salud: El expediente clínico de cualquier atención médica, referencias o descripción de sintomatologías, detección de enfermedades, incapacidades médicas, discapacidades, intervenciones quirúrgicas, vacunas, consumo de estupefacientes, uso de aparatos oftalmológicos, ortopédicos, auditivos, prótesis, así como el estado físico o mental de la persona. Datos biométricos: Huellas dactilares, ADN, geometría de la mano, características de iris y retina, además análogos. Datos especialmente protegidos (sensibles): origen étnico o racial, características morales o emocionales, ideología y opiniones políticas, creencias, convicciones religiosas, filosóficas y preferencia sexual. Datos personales de naturaleza pública: aquellos que por mandato legal sean accesibles al público. Ley de Desarrollo Social (beneficiarios)

Protección de Datos Personales El derecho a la protección de datos garantiza a toda persona el control sobre sus datos personales, tanto su uso como su destino, para impedir su tráfico ilícito y la vulneración de la dignidad del afectado. Conocer su inclusión en un SDP Confidencialidad de los datos Conocer los FINES Actualizar o corregir

Tema Dos Breve historia de la protección de datos personales en el Distrito Federal

Breviario Histórico Excepción al Derecho de Acceso a la Información Pública (Capítulo de la LTAIPDF) Derecho a la protección de datos personales obtuvo su autonomía, al ser publicada la Ley de Protección de Datos Personales para el Distrito Federal. (3-oct) 2003 2007 2008 2009 LTAIPDF: 8, 10, 12 fracc. V, y 38 Fracc. I y IV Se fortalece el tema de la Protección de Datos Personales y se incorpora en la CPEUM los Derechos ARCO Reforma del Art. 6° Constitucional Fracc. II y III: protección a la vida privada, los datos personales, toda persona sin acreditar interés …. acceso gratuito a la Información Pública y a sus DP o a la rectificación. Art. 16 “Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley…”

¿Pero el artículo 6 Constitucional NO regula la Libertad de Expresión y el DAIP? Efectivamente, ese artículo constitucional regula esas materias, pero tiene algunas disposiciones expresas en materia de protección de datos personales, la cuales, las ubicamos en las fracciones: II III La información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes. Toda persona, sin necesidad de acreditar interés alguno o justificar su utilización, tendrá acceso gratuito […] a sus datos personales o a la rectificación de éstos.

Artículo 16 Constitucional Otro artículo constitucional en el que se regula el derecho humano a la protección de datos personales es el artículo 16, segundo párrafo, que señala: Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley.

Anotación A pesar que de que, a partir del 2008 la LTAIPRC ya no regula directamente el tema, no quiere decir que no existen algunas disposiciones al respecto: Art. 7 Para ejercer el Derecho de Acceso a la Información Pública no es necesario acreditar derechos subjetivos, interés legítimo o razones que motiven el requerimiento, ni podrá condicionarse el mismo por motivos de discapacidad, salvo en el caso del derecho a la Protección de Datos Personales… La información de carácter personal es irrenunciable, intransferible e indelegable, por lo que ninguna autoridad podrá proporcionarla o hacerla pública, salvo que medie consentimiento expreso del titular.

Otra anotación Art. 24 f. XXIII Art. 191 f. I Art. 193 (Obligaciones de los Sujetos obligados) Asegurar la protección de los datos personales en su posesión con los niveles de seguridad adecuados previstos por la normatividad aplicable Art. 24 f. XXIII (Información Confidencial) Para que los sujetos obligados puedan permitir el acceso a información confidencial requieren obtener el consentimiento de los particulares titulares de la información. Salvo las excepciones previstas en la Ley. Art. 191 f. I Toda persona por sí o por medio de representante, tiene derecho a presentar una solicitud de acceso a la información, sin necesidad de sustentar justificación o motivación alguna y tendrá acceso gratuito a la información pública y a sus datos personales en poder de los sujetos obligados, salvo los casos de excepción contemplados por esta ley. Art. 193

Los Principios rectores Tema Tres Los Principios rectores

1. Principio de Licitud artículo 5 de la LPDPDF 7 LICITUD Atribuciones CONSENTIMIENTO Voluntad: libre, inequívoca, específica e informada. CALIDAD DE LOS DATOS Ciertos, adecuados, pertinentes y no excesivos CONFIDENCIALIDAD Personas autorizadas SEGURIDAD Garantizar que solo los autorizados accedan DISPONIBILIDAD Almacenarlos permitan el ejercicio ARCO TEMPORALIDAD Destruir los datos Necesarios pertinentes Informado Principios Rectores ¿Quiénes son los autorizados? Excepciones Art. 16 LPDPDF Leyenda de Privacidad Art. 9 LPDPDF Numeral 13 de LPDPDF Art. 5 LPDPDF

1. Principio de Licitud artículo 5 de la LPDPDF Este principio implica que los: “… sistemas de datos personales [obedezcan exclusivamente a las atribuciones legales o reglamentarias] de cada ente público y deberán obtenerse a través de medios previstos en dichas disposiciones…” Los Sistemas de Datos Personales no pueden tener finalidades contrarias a las leyes o a la moral públicas

2. Principio de Consentimiento artículo 5 de la LPDPDF Este principio refiere la voluntad libre, inequívoca, específica e informada, mediante la cual, el titular de los datos personales consiente al tratamiento de sus datos personales. Cuando los entes públicos recaben datos personales, éstos, deberán utilizar el modelo de leyenda para informar el interesado (según el artículo 9 de la LPDPDF). El modelo de leyenda se encuentra en el numeral 13 de los lineamientos.

Información de la Leyenda de Privacidad Los entes públicos tienen la obligación de informar, previamente a la recolección de los datos personales, los siguientes elementos básicos: Existencia de un SDP Señalamiento del tratamiento Finalidad Fundamentos legales o atribuciones Destinatario de los datos (en caso de ser procedente) Responsable del SDP Domicilio de la OIP Posibilidad de ejercer los derechos ARCO

3. Principio de Calidad de los Datos artículo 5 de la LPDPDF Este principio implica que los datos personales deban reunir 4 elementos básicos: en relación al ámbito y finalidad para los que se hubieren obtenido. Los datos recabados deberán ser los que respondan con veracidad a la situación actual del interesado…” Ciertos Adecuados Pertinentes NO excesivos

4 . Principio de Seguridad artículo 5 de la LPDPDF Este principio consiste en garantizar que únicamente el responsable del sistema de datos personales o en su caso las personas debidamente autorizadas puedan llevar a cabo el tratamiento de los datos personales mediante procedimientos establecidos para este efecto Fuente: http://www.economiapersonal.com.ar/wp-content/uploads/2010/06/phishing-03.bmp

5. Principio de Confidencialidad artículo 5 de la LPDPDF Este principio consiste en: “… garantizar que sólo las personas autorizadas accedan a los datos personales para su tratamiento con la obligación de observar el deber de secrecía…” ¿Quiénes son los que se encuentran autorizados? Se recomienda en el segundo punto de esta diapositiva, aplicar la dinámica “Lectura comentada”, para la cual, el instructor deberá dividir a los participantes en tres grupos, a cada uno de ellos, se deberá dar un ejemplar de la LPDPDF, a fin de que, en ella identifiquen a las personas que se encuentran autorizadas para tener acceso a los datos personales; una vez realizado esto, deberán dar una definición y dar un ejemplo de las funciones que podrían desempeñar. (Dinámica de 5 min.)

Organigrama del Sistema de Datos Personales Art. 21 y 22 LPDPDF coordina a todos los responsables Decide sobre la Protección y tratamiento de los dato Personales, contenido y finalidad Se recomienda en el segundo punto de esta diapositiva, aplicar la dinámica “Lectura comentada”, para la cual, el instructor deberá dividir a los participantes en tres grupos, a cada uno de ellos, se deberá dar un ejemplar de la LPDPDF, a fin de que, en ella identifiquen a las personas que se encuentran autorizadas para tener acceso a los datos personales; una vez realizado esto, deberán dar una definición y dar un ejemplo de las funciones que podrían desempeñar. (Dinámica de 5 min.) Hace tratamiento de Datos Personales

6. Principio de Disponibilidad artículo 5 de la LPDPDF Los datos deben ser almacenados y organizados de modo que permitan, el ejercicio de los derechos ARCO de Acceso, Rectificación, Cancelación, Oposición, del interesado.

7. Principio de Temporalidad artículo 5 de la LPDPDF El principio de temporalidad, implica que los datos personales deben ser destruidos una vez que hayan dejado de ser necesarios o pertinentes a los fines para los que fueron obtenidos. Fuente: http://www.anobium.es/docs/gc_noticias/img/7EPXYabgnt.jpg

Excepciones al Consentimiento Tema Cuatro Excepciones al Consentimiento

Excepciones al Consentimiento Artículo 16 de la LPDPDF El titular no este disponible para otorgarlo El tratamiento este previsto en una ley La transmisión se realice entre entes públicos Se encuentra previsto en sus atribuciones Exista una orden judicial Se refiera a las partes de un convenio

Excepciones al Consentimiento Artículo 16 de la LPDPDF Se de a conocer a terceros para la prestación de un servicio Por razones de salud pública, emergencia o estudio epidemiológico Los datos figuren en registros públicos y su tratamiento sea necesario

Sistemas de Datos Personales Tema Cinco Sistemas de Datos Personales Artículos de 6 a 12 de la LPDPDF

Sistema de Datos Personales (SDP) Conjunto organizado de datos personales que esté en posesión de los entes públicos, contenidos en archivos, registros, ficheros, base o banco de datos… Numeral 3 de los Lineamientos para la Protección de DP en el DF

Tipos de SDP´s Físicos: Están contenidos en registros manuales, impresos, sonoros, magnéticos, visuales u holográficos, estructurado conforme a criterios específicos relativos a personas físicas que permitan acceder sin esfuerzos desproporcionados a sus datos personales. Automatizados: Conjunto ordenado de datos de carácter personal que permita acceder a la información relativa a una persona física utilizando una herramienta tecnológica.

Video: Cornchurch Reprod Reproducir video Protección de datos personales Documental educativo Se solicita a los participantes que vean el video. Posteriormente se les solicita que identifiquen si se ven representados algunos principios rectores. Se les solicita que indiquen en que casos hubo una infracción a los principios rectores y ¿Por qué? Finalmente se solicita reflexionen si son casos que puedan llevarse a cabo en sus centros de trabajo. Reprod

Obligaciones de Transparencia Publicar en la Gaceta Oficial de la Ciudad de México: la creación, modificación, o supresión de un SDP 2 Registrar Electrónico de SDP

Operación RESDP Enlace en materia de datos personales, deberá ingresar clave y contraseña asignada por la Dirección de Datos Personales

Registro Electrónico de Sistemas de Datos Personales

Creación, Modificación y Supresión de un SDP La creación, modificación y supresión de un SDP es competencia exclusiva del Titular del Ente (o equivalente). Debe ser publicada en la Gaceta Oficial de la Ciudad de México. La publicación debe contener por lo menos, los siguientes elementos:

Prohibición Art. 10 LPDPDF Esta prohibido la creación de SDP que tengan como finalidad exclusiva el almacenar datos sensibles

Supresión de un SDP lineamiento 9 El acuerdo en el que se dicte la supresión de un SDP, debe indicar: El destino de los datos ahí contenidos Medidas previstas para su destrucción. Publicarlo en la Gaceta Oficial de la Ciudad de México, al menos 30 días hábiles previos

Tema Seis Medidas de Seguridad

Niveles de Seguridad Artículo 14 de la LPDPDF Alto Datos personales: relativos a la ideología, religión, creencias, afiliación política, origen racial o étnico, salud, biométricos, genéticos o vida sexual…. Distribución de soportes Registro de acceso Telecomunicaciones 3 + Medio Datos personales: Comisión de infracciones administrativas, delitos, Hacienda pública, datos patrimoniales, servicios financieros, datos suficientes que permitan obtener una evaluación de la personalidad del individuo Responsable de seguridad Auditoría Control de acceso físico Pruebas con datos reales + Documento de Seguridad Funciones y obligaciones del personal autorizado al tratamiento de DP Registro de incidencias Identificación y autentificación Control de acceso Copias de respaldo Básico Aplicable a todos los sistemas

Tipos de Seguridad Artículo 14 de la LPDPDF 1.- Física Protección de instalaciones, equipo o sistemas Identificación y autentificación 2.- Lógica Autorizaciones para la creación o tratamiento de los SDP 3.- Desarrollo y aplicaciones Contraseñas, claves y algoritmos 4.- Cifrado Acceso a dominios o carga de programas 5.-Comunicaciones y redes

Procedimiento: Derechos ARCO Tema Siete Procedimiento: Derechos ARCO

Derechos ARCO

Medios para presentar una solicitud ARCO Existen tres modos de presentar una solicitud: electrónicamente, verbalmente, o por escrito Los tres medios más empleados son: INFOMEX-DF, TELINFODF, en la UT

Requisitos para la solicitud de Derechos ARCO Nombre del ente Nombre del titular de los datos Descripción de lo requerido Domicilio (físico o electrónico) Modalidad en la que se requiere la información

¿Cuándo se acredita la personalidad del solicitante? Art. 32 La personalidad del titular de los datos personales o la representación, se acredita cuando se acude a las instalaciones de la OIP a recoger la respuesta. No se puede perder de vista que, a diferencia de una solicitud de acceso a la información pública amparada en al LTAIPRC, la OIP no puede entregar información vía INFOMEX, o correo electrónico o verbalmente con datos personales. Por esos medios, sólo se podrá notificar la disponibilidad de la información.

Gestiona a través de sistema INFOMEX Procedimiento para ejercer los Derechos ARCO Art. 32 Respuesta Solicitud Gestiona a través de sistema INFOMEX Turna a unidades administrativas competentes para contar con la información Acceso Entrega los datos Notifica la existencia de una respuesta ¿Solicitud es clara? Sólo en OIP 15 días hábiles 30 días hábiles 5 días En cualquiera de los medios señalados No Sí Rectificación , cancelación y oposición Prevención Previa acreditación dentro de 10 días procede a rectificar Bloquea el dato Notifica la procedencia 15 días hábiles 5 días Desahoga la prevención Sólo en OIP Negativa No localización Artículo 32 Acta circunstanciada Improcedencia Artículo 36 y 12 Respuesta fundada y motivada firmada por el responsable del sistema y el titular de la OIP No Sí Se tiene por no presentada 15 días hábiles

249 Costos Concepto Monto Copia certificada por una sola cara $2.08 Versión pública por una sola cara $0.52 De copia simple o fotostática por una sola cara Planos $91.00 Disco flexible de 3.5” $19.25 Disco compacto Audio casetes Videocasetes $49.90 El particular una vez notificado el costo de reproducción, cuenta con 30 días hábiles para efectuar el pago. Comprobado el pago, el ente tiene 3 días hábiles como máximo para la entrega. 249 30 de diciembre de 2015 Código Fiscal del D.F.

Tema Ocho Medios de Defensa

o Denuncia (Art. 17 LPDPDF) Procede por: Utilización Cesión de los datos de carácter personal en que se impida o se atente gravemente contra el ejercicio de los derechos de las personas Cesión

Procedimiento de la Denuncia 20 días hábiles art.17 LPDPDF Elementos de procedencia: Nombre del denunciante. Nombre del ente obligado. Descripción clara y precisa del incumplimiento. Domicilio físico (en el D.F.) o correo electrónico. DENUNCIA INFODF ADMITE LA DENUNCIA INFODF SOLICITA AL ENTE OBLIGADO EL INFORME Y EL DICTAMEN DE LA DIRECCIÓN DE DATOS PERSONALES. UNA VEZ RECIBIDO EL INFORME Y EL DICTÁMEN EL INFODF EMITE RESOLUCIÓN Procedimiento: 4 1 2 3

Recurso de Revisión Las OIP deben orientar sobre el derecho a interponer el recurso, la forma y el plazo. Se tramitará de conformidad con lo establecido en la LTAIPRC Arts. 233-254 LTAIPRC (Art. 40 LPDPDF) Deberá interponerse dentro de los 15 días hábiles contados a partir de la fecha en que surta efectos la notificación de la resolución El Instituto deberá resolver dentro de los 30 días hábiles siguientes a la admisión del recurso. Las resoluciones del INFODF son definitivas, inatacables y obligatorias para los entes públicos. Los particulares pueden promover amparo.

Recurso de Revisión (Causales) Art. 38 LPDPDF El recurso de revisión se puede interponer por 2 causas La primera es, porque te sientes AGRAVIADO con la respuesta que te dio el ente público La segunda, es por qué el ente público NO TE DIO RESPUESTA a tu solicitud Causales de procedencia Art. 38 LPDDF

Recurso de Revisión El recurso de revisión deberá contener lo siguiente: I. El nombre del recurrente y, en su caso, el de su representante legal, así como del tercero interesado, si lo hay; II. El sujeto obligado ante el cual se presentó la solicitud; III. El domicilio, medio electrónico para oír y recibir notificaciones, en caso de no haberlo señalado, se harán por estrados; IV. El acto o resolución que recurre y, en su caso, el número de folio de respuesta de solicitud de acceso, V. La fecha en que se le notificó la respuesta al solicitante o tuvo conocimiento del acto reclamado, o de presentación de la solicitud en caso de falta de respuesta; VI. Las razones o motivos de inconformidad, y VII. La copia de la respuesta que se impugna, salvo en caso de falta de respuesta de solicitud. Art.237 LTAIPRC Artículo 237

Procedimiento del Recurso de Revisión Artículo 233 ( Ley de Transparencia) El Pleno del INFODF Resuelve 15 días hábiles para interponer el Recurso de Revisión ¿Prevención? INFODF revisa si cumple con los requisitos (237 LTAIPRC)   NO SI INFODF emite acuerdo de admisión Integra expediente y lo pone a disposición de las partes (7 días hábiles) Las partes (sujeto obligado y recurrente) ofrecen pruebas o alegatos. Desahogadas las pruebas se decreta el cierre de instrucción. Se elabora proyecto de resolución para ponerlo a consideración del Pleno Se desecha el recurso ¿Atiende prevención? El solicitante cuenta con 5 días hábiles para atender la prevención. 1

Resolución Art. 244 LTAIPRC LTAIPDF Desecha El R.R. por improcedente o se sobresee. Confirma El acto o resolución impugnada. Revocar Las decisiones del Ente Obligado. Modifica La resolución del Ente Obligado. Ordena La emisión de una respuesta, entrega de la información. 30+10=40 días hábiles para resolver

Infracciones Art. 41 LPDPDF Omisión o irregularidad en la atención de solicitudes ARCO. Recabar datos personales sin cumplir el Deber de Información o sin el consentimiento cuando éste es procedente. Crear sistemas sin la publicación correspondiente en la Gaceta Oficial de la Ciudad de México. Incumplir con los principios y con las resoluciones del INFODF Obtención fraudulenta o engañosa de datos; transmisiones indebidas (lucro). Obstaculizar inspección del INFODF. Destruir, alterar o ceder Datos Personales sin autorización.

Taller de Documento de Seguridad octubre de 2017 ¡GRACIAS POR SU ATENCIÓN!

www.infodf.org.mx Elizabeth Pérez Méndez elizabeth.perez@infodf.org.mx 5636-2120 ext. 144 http://www.blog-de-eddie.com/2011/01/los-datos-de-contacto-en-un-sitio-web-y.html Eva Luz Zapata Nava eva.zapata@infodf.org.mx 5636-2120 ext. 137

www.infodf.org.mx Elizabeth Pérez Méndez elizabeth.perez@infodf.org.mx 5636-2120 ext. 144

www.infodf.org.mx Elizabeth Pérez Méndez elizabeth.perez@infodf.org.mx 5636-2120 ext. 144 http://www.blog-de-eddie.com/2011/01/los-datos-de-contacto-en-un-sitio-web-y.html Teresa Jiménez Rodríguez teresa.jimenez@infodf.org.mx 5636-2120 ext. 158

www.infodf.org.mx Lic. Elizabeth Pérez Méndez elizabeth.perez@infodf.org.mx 5636-2120 ext. 144 http://www.blog-de-eddie.com/2011/01/los-datos-de-contacto-en-un-sitio-web-y.html Lic. Rocío Ramírez Moyao rocio.ramirez@infodf.org.mx 5636-2120 ext. 111